Hallo alle zusammen,
da ich zur Zeit endlich mal wieder etwas Zeit gefunden habe, bin ich seit gestern dabei, mein PC wieder auf Vordermann zu bringen.
Sprich: von schädlicher Software entfernen, Datenmüll loswerden etc.

Meine PC-Daten (falls vonnöten):
XP Home Edition SP 2
Version 2002
Celeron(R) CPU 2,66 GHz
1,49 GB RAM


So, als erstes begann ich damit AVG Free 9.0 laufen zulassen, welches infizierte Dateien fand und auch vernichtete.

Infektionen;"1";"1";"0"
Spyware;"10";"10";"0"
Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen"
Start des Scans:;"Dienstag, 16. Februar 2010, 17:44:19"
Scan beendet:;"Dienstag, 16. Februar 2010, 19:50:55 (2 Stunde(n) 6 Minute(n) 35 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"330566"
Benutzer, der den Scan gestartet hat:;"***"

Infektionen
Datei;"Infektion";"Ergebnis"
I:\Programme\***\Link Checker v.1.3.exe;"Trojaner: Generic16.BFYF";"In Virenquarantäne verschoben"

Spyware
Datei;"Infektion";"Ergebnis"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise0036.bin:\unwise0006.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise0036.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise001f.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0024.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0014.bin:\unwise0006.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0014.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"



Dannach Festplatten defragmentieren, anschließend säuberte ich die Redistry mit regseeker (nur mit der automatischen Funktion, ca 200 Einträge sind noch vorhanden, bin aber unsicher ob die ebenfalls gelöscht werden können).
Anschließend defragmentierte ich die Registry mit RegCompact.NET.
Malwarebyte's Anti-Malware laufen, welcher einen Fund hatte, dazu gibts auch einen Logfile:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.02.2010 00:33:11
mbam-log-2010-02-17 (00-33-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|)
Durchsuchte Objekte: 203901
Laufzeit: 2 hour(s), 0 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\spool\drivers\w32x86\2\lxaestrn.dll (Worm.KoobFace) -> Quarantined and deleted successfully.


Anschließend dann Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:10, on 17.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\802.11g USB Wireless Network Driver and Utility HW.14 V1.0.0\RtWLan.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 802.11g USB Wireless Network Utility .lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7001 bytes


Anschließend deaktivierte ich über msconfig im Autostart einige Unnütze Sachen (ein paar lies ich aber aus Unsicherheit drinnen).


Es waere super wenn mir jemand helfen koennte den HijackThis auszuwerten.
Auserdem habe ich im Taskmanager 49 Prozesse am laufen, ist das normal?
Beim Wmp 11 ist es auch so, dass er nie richtig geschlossen wird, im Hintergrund weiterläuft, und ich ihn nur richtig über den Taskmanager jedes Mal schließen kann.

Vielen Grüße und Dank im vorraus,
Tungsten

Hallo und

malwarebytes hatte bei Deinem Scan veraltete Signaturen, bitte daher am besten mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Vielen Dank für deine Antwort,
die Liste wurde abgearbeitet und hier sind die
Logs !
Hoffe das passt alles so,
vg

Zitat:

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\u96.exe (Trojan.Agent) -> Quarantined and deleted successfully.
K:\Desktop\u94.exe (HackTool.Proxy) -> Quarantined and deleted successfully.

Was ist u94 und u96?

Wie das genau heist, kann ich dir auch nicht sagen, aber damit konnte ich US-Clearence bereichen shoppen (us-proxy?!). Wusste nicht dass das Programm schädlich ist, ist jetzt gelöscht.
Und wie siehts sonst so aus?
Vg

Das Log von RSIT ist für mich rel. unauffällig. Mach bitte wgen der anderen Funde noch ein Log mit CF, dann sollten wir hoffentlich fast durch sein

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok, hier das CombofixLOG,
das kann ich ja nun wieder löschen oder?
Wie oft sollte man die Malware und CCleaner laufen lassen? Ersparen diese normale Virenprogramme wie Antivira und AVG? Ich habe im Internet gelesen, das manche 4 verschieden RegistryCleaner benutzen, ist das sinnvoll? Ist die Benutzung von Malware und CCleaner genauso erforderlich und läuft genauso ab bei Win Vista, Win7?
Mittlerweile laufen nur noch 38 Prozesse, cool!

(u94, u96 = ultrasurf (versteckt die ip und man kann überall shoppen, brauch ich aber zur Zeit eh nich mehr))

viele grüße

Log ist ok aus meiner Sicht. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Zitat:

Wie oft sollte man die Malware und CCleaner laufen lassen?

Da gibt es keine allgemeingültige Empfehlung. Es gibt ja auch keine dafür zu "Wie oft soll ich mein Auto in die Waschstraße bringen?"
Malwarebytes brauchst Du selber garnicht ausführen, nur wenn Du viel Langweile hast, kannst Du es 1-2x im Monat machen, aber immer updaten vorher!!
Der CCleaner ist nur zur Bereinigung da. Vor jedem Durchlauf mit Malwarebytes wäre eine Bereinigung zu empfehlen.

Zitat:

Ersparen diese normale Virenprogramme wie Antivira und AVG?

So darfst Du das nicht sehen, da Malwarebytes (freie Version) keinen Hintergrundwächter hat. Es hat sich auch auf Malware spezialisiert, die idR von den anderen Virenscannern nicht erkannt werden.

Zitat:

Ich habe im Internet gelesen, das manche 4 verschieden RegistryCleaner benutzen, ist das sinnvoll?

Das halt ich für Unug, es bringt Dir defacto auch keinen Geschwindigkeitsvorteil, ständig die Registry zu "optimieren" da sie wie eine Datenbank aufgebaut ist. Ich würd emeinen Du zerschießt Dir eher was in der Registry durch den Einsatz von zu vielen Programmen.

Statt Dich zu sehr auf Programme zu verlassen, solltest Du mal lieber auch an andere Punkte denken, Virenscanner können nicht zuverlässig Schädlinge erkennen!

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Da bei Dir das SP3 für Windows XP fehlt, musst Du auch unbedingt mal die Updates prüfen!!

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So hier die Malware Log. Gibt es das Java auch ohne Registrierung, oder kann man das bedenkenlos machen? vg

edit: schau mal wieviele frameworks ich installiert habe, kann ich dort nicht einfach alles deinstallieren und anschließend nur die neuste installieren?


Edit2: nebenher laufen wieder 46 Prozesse, obwohl im Systemstart keine neuen dazu gekommen sind...

Java geht auch ohne Registrierung, lass die Felder einfach bei Name + E-Mail leer.
Bei .NET bin ich leider etwas überfragt ich würde alles deinstallieren außer die aktuellste Version

Wg .NET Framework:

Würde ich nicht löschen/ deinstallieren.
Die neuen Versionen bauen auf die alten auf.
Sprich wenn du 2.0 löscht, funktioniern auch 3.0 und 3.5 nicht mehr.

lg Matze

Zitat:

Zitat von El Dorado

Sprich wenn du 2.0 löscht, funktioniern auch 3.0 und 3.5 nicht mehr.

Oha ist das echt so?
Ich sagte ja, fragt mich nicht wegen .NET, für mich ist das übelstes Teufelswerk